PHP 中cookie 和 session 的分析

移动开发 Android
PHP 的COOKIEcookie 是一种在远程浏览器端储存数据并以此来跟踪和识别用户的机制。PHP 在http 协议的头信息里发送cookie,因此 setcookie() 函数必须在其它信息被输出到浏览器前调用,这和对 header() 函数的限制类似。

. PHP 的COOKIE

cookie 是一种在远程浏览器端储存数据并以此来跟踪和识别用户的机制。

PHP 在http 协议的头信息里发送cookie,因此 setcookie() 函数必须在其它信息被输出到浏览器

前调用,这和对 header() 函数的限制类似。

1.1 设置cookie:

可以用 setcookie()或 setrawcookie()函数来设置 cookie。也可以通过向客户端直接发送http 头来设置。

1.1.1 使用 setcookie()函数设置cookie:

bool setcookie ( string name [, string value [, int expire [, string path [, string domain [, bool secure [, bool

httponly]]]]]] )

name: cookie 变量名

value:cookie 变量的值

expire: 有效期结束的时间

path: 有效目录

domain: 有效域名,顶级域唯一

secure: 如果值为 1,则cookie 只能在https 连接上有效,如果为默认值 0,则http 和 https 都可以。

例子:

代码片段

  1. <?php  
  2.     $value = 'something from somewhere'
  3.  
  4.     setcookie("TestCookie", $value); /* 简单 cookie设置 */  
  5.     setcookie("TestCookie", $value, time()+3600); /* 有效期 1个小时 */  
  6.     setcookie("TestCookie", $value, time()+3600"/~rasmus/"
  7.  
  8.     ".example.com"1); /* 有效目录 /~rasmus,有效域名 example.com及其所有子域名  
  9.     */  
  10.     ?> 

设置多个 cookie 变量:setcookie('var[a]','value'); 用数组来表示变量,但他的下标不用引号。这

样就可以用$_COOKIE[‘var’][‘a’]来读取该COOKIE 变量。

1.1.2. 使用 header()设置cookie;

header("Set-Cookie: name=$value[;path=$path[;domain=xxx.com[;...]]");

后面的参数和上面列出 setcookie 函数的参数一样。

比如:

代码片段

  1. $value = 'something from somewhere';  
  2.    header("Set-Cookie:name=$value"); 

1.2 Cookie 的读取:

直接用php  内置超级全局变量$_COOKIE 就可以读取浏览器端的cookie。 

面例子中设置了cookie "TestCookie",现在我们来读取:

代码片段

  1. print $_COOKIE['TestCookie']; 

COOKIE 是不是被输出了?!

1.3 删除cookie

只需把有效时间设为小于当前时间,和把值设置为空。例如:

代码片段

  1. setcookie("name""", time()-1); 

用header()类似。

1.4 常见问题解决:

1) 用 setcookie()时有错误提示,可能是因为调用setcookie()前面有输出或空格。也可能你的文

档是从其他字符集转换过来,文档后面可能带有 BOM 签名(就是在文件内容添加一些隐藏

的BOM 字符)。解决的办法就是使你的文档不出现这种情况。还有通过使用ob_start()函数

也能处理一点。

2) $_COOKIE 受magic_quotes_gpc 影响,可能自动转义。

3) 使用的时候,有必要测试用户是否支持cookie。

1.5 cookie 工作机理:

有些学习者比较冲动,没心思把原理研究,所以我把它放后面。

a) 服务器通过随着响应发送一个http 的Set-Cookie 头,在客户机中设置一个cookie(多个cookie要多个头)。

 

b) 客户端自动向服务器端发送一个http 的cookie 头,服务器接收读取。

HTTP/1.x 200 OK

X-Powered-By: PHP/5.2.1

Set-Cookie: TestCookie=something from somewhere; path=/

Expires: Thu, 19 Nov 2007 18:52:00 GMT

Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0

Pragma: no-cache

Content-type: text/html

这一行实现了cookie 功能,收到这行后

Set-Cookie: TestCookie=something from somewhere; path=/

浏览器将在客户端的磁盘上创建一个cookie 文件,并在里面写入:

TestCookie=something from somewhere;

/

这一行就是我们用 setcookie('TestCookie','something from somewhere','/'); 的结果。也就是用

header('Set-Cookie: TestCookie=something from somewhere; path=/');的结果。

2. PHP 的SESSION

session 使用过期时间设为0 的cookie,并且将一个称为session ID 的唯一标识符(一长串字符串),

在服务器端同步生成一些 session 文件(可以自己定义 session 的保存类型),与用户机关联起来。web

应用程序存贮与这些 session 相关的数据,并且让数据随着用户在页面之间传递。

访问网站的来客会被分配一个唯一的标识符,即所谓的 SESSION ID。它要么存放在客户端的

cookie,要么经由 URL 传递。

SESSION 允许用户注册任意数目的变量并保留给各个请求使用。当来客访问网站时,PHP 会自

动(如果 session.auto_start 被设为 1 )或在用户请求时(由 session_start() 明确调用或

session_register() 暗中调用)检查请求中是否发送了特定的SESSION ID。如果是,则之前保存的环

境就被重建。

2.1 SESSION ID 的传送

2.1.1 通过 cookie 传送 SESSION ID

使用 session_strt()调用 session,服务器端在生成session 文件的同时,生成 session ID 哈希值和

默认值为PHPSESSID 的session name,并向客户端发送变量为(默认的是)PHPSESSID(session name),

值为一个 128 位的哈希值。服务器端将通过该 cookie 与客户端进行交互。

session 变量的值经php 内部序列化后保存在服务器机器上的文本文件中,和客户端的变量名默

认情况下为PHPSESSID 的coolie 进行对应交互。

即服务器自动发送了 http 头:header('Set-Cookie: session_name()=session_id(); path=/'); 即

setcookie(session_name(),session_id());

当从该页跳转到的新页面并调用session_start()后,PHP 将检查与给定ID 相关联的服务器端存贮

的session 数据,如果没找到,则新建一个数据集。

2.1.2 通过 URL 传送 session ID

只有在用户禁止使用cookie 的时候才用这种方法,因为浏览器cookie 已经通用,为安全起见,

可不用该方法。

<a href="p.php?<?php print session_name() ?>=<?php print session_id() ?>">xxx</a>,也可以通过

POST 来传递 session 值。

2.2 session 基本用法实例

代码片段

  1. <?php  
  2.     // page1.php  
  3.     session_start();  
  4.     echo 'Welcome to page #1'
  5.  
  6.     /* 创建 session变量并给 session变量赋值 */  
  7.  
  8.     $_SESSION['favcolor'] = 'green';  
  9.     $_SESSION['animal'] = 'cat';  
  10.     $_SESSION['time'] = time(); 
  11.  
  12.     // 如果客户端使用 cookie,可直接传递 session到page2.php  
  13.    echo '<p /><a href="page2.php">page 2</a>'
  14.  
  15.     // 如果客户端禁用 cookie  
  16.    echo '<p /><a href="page2.php?' . SID . '">page 2</a>';  
  17.     /* 

默认php5.2.1下,SID只有在 cookie被写入的同时才会有值,如果该 session 

    对应的 cookie 已经存在,那么 SID将为 (未定义)空

  1.  */  
  2.     ?> 
  3.  
  4. 代码片段  
  5.    <?php  
  6.     // page2.php  
  7.     session_start(); 
  8.  
  9.    print $_SESSION['animal']; // 打印出单个 session  
  10.    var_dump($_SESSION); // 打印出page1.php传过来的 session值  
  11.     ?> 

2.3 使用session 函数控制页面缓存

很多情况下,我们要确定我们的网页是否在客户端缓存,或要设置缓存的有效时间,比如我们

的网页上有些敏感内容并且要登录才能查看,如果缓存到本地了,可以直接打开本地的缓存就可以

不登录而浏览到网页了。

使用 session_cache_limiter('private');可以控制页面客户端缓存,必须在 session_start()之前调用。

更多参数见http://blog.chinaunix.net/u/27731/showart.php?id=258087 的客户端缓存控制。

控制客户端缓存时间用 session_cache_expire(int); 单位(s)。也要在session_start()前调用。

这只是使用 session 的情况下控制缓存的方法,我们还可以在header()中控制控制页面的缓存。

2.4 删除session

要三步实现。

代码片段

  1. <?php 
  2.  
  3.     session_destroy();      // 第一步: 删除服务器端 session文件,这使用  
  4.     setcookie(session_name(),'',time()-3600);      //  第 二 步 : 删 除 实 际 的  
  5.     session: 
  6.  
  7.     $_SESSION = array();     // 第三步: 删除$_SESSION全局变量数组  
  8.     ?>  

2.5 session 在PHP 大型web 应用中的使用

对于访问量大的站点,用默认的 session 存贮方式并不适合,目前最优的方法是用数据库存取

session。这时,函数bool session_set_save_handler ( callback open, callback close, callback read, callback

write, callback destroy, callback gc )就是提供给我们解决这个问题的方案。

该函数使用的6 个函数如下:

1. bool open() 用来打开会话存储机制。

2. bool close(-)关闭会话存储操作。

3. mixde read() 从存储中装载session 数据时使用这个函数。

4. bool write() 将给定 session ID 的所有数据写到存储中。

5. bool destroy() 破坏与指定的 session ID 相关联的数据。

6. bool gc() 对存储系统中的数据进行垃圾收集。

例子见php 手册 session_set_save_handler() 函数。

如果用类来处理,用

代码片段

  1. session_set_save_handler( 
  2.  
  3.      array('className','open'),  
  4.      array('className','close'),  
  5.      array('className','read'),  
  6.      array('className','write'),  
  7.      array('className','destroy'),  
  8.      array('className','gc'),  
  9.    ) 

调用className 类中的 6 个静态方法。className 可以实例化对象就不用调用静态方法,但是用

静态成员不用生成对象,性能更好。

2.6 常用session 函数:

bool session_start(void) 初始化 session。

bool session_destroy(void) 删除服务器端 session 关联文件。

string session_id() 当前session 的id。

string session_name() 当前存取的session 名称,也就是客户端保存session ID 的cookie 名称.默

认PHPSESSID。

array session_get_cookie_params() 与这个session 相关联的 session 的细节。

string session_cache_limiter() 控制使用 session 的页面的客户端缓存。

ini session_cache_expire() 控制客户端缓存时间。

bool session_destroy() 删除服务器端保存 session 信息的文件。

void session_set_cookie_params ( int lifetime [, string path [, string domain [, bool secure [, bool

httponly]]]] ) 设置与这个session 相关联的 session 的细节。

bool session_set_save_handler ( callback open, callback close, callback read, callback write, callback

destroy, callback gc ) 定义处理session 的函数(不是使用默认的方式)。

bool session_regenerate_id([bool delete_old_session]) 分配新的session id

2.7 session 安全问题

攻击者通过投入很大的精力尝试获得现有用户的有效 session ID,有了session id,他们就有可能

能够在系统中拥有与此用户相同的能力。

因此,我们主要解决的思路是效验session ID 的有效性。

代码片段

  1. <?php 
  2.  
  3.       if(!isset($_SESSION['user_agent'])){ 
  4.  
  5.            $_SESSION['user_agent'] = $_SERVER['REMOTE_ADDR'] . 
  6.  
  7.       $_SERVER['HTTP_USER_AGENT']; 
  8.  
  9.       } 
  10.  
  11.       /* 如果用户 session ID是伪造 */ 
  12.  
  13.       elseif ($_SESSION['user_agent'] != $_SERVER['REMOTE_ADDR'] . 
  14.  
  15.       $_SERVER['HTTP_USER_AGENT']) { 
  16.  
  17.           session_regenerate_id(); 
  18.  
  19.       } 
  20.  
  21.     ?> 

2.8 Session 通过cookie 传递和通过SID 传递的不同

在 php5.2.1 的session 的默认配置的情况下,当生成session 的同时,服务器端将在发送header

set-cookie 同时生成预定义超级全局变量 SID(也就是说,写入 cookie 和抛出 SID 是等价的),当

$_COOKIE['PHPSESSID']存在以后,将不再写入 cookie,也不再生成超级全局变量SID,此时,SID

将是空的。

2.9 session 使用实例

代码片段

  1.  <?php  
  2.    /** 
  3.  
  4.    * 效验 session的合法性  
  5.    *  
  6.    */  
  7.    function sessionVerify() {  
  8.       if(!isset($_SESSION['user_agent'])){  
  9.           $_SESSION['user_agent'] = MD5($_SERVER['REMOTE_ADDR']  
  10.           .$_SERVER['HTTP_USER_AGENT']);  
  11.       } 
  12.  
  13.       /* 如果用户 session ID是伪造,则重新分配 session ID */  
  14.       elseif ($_SESSION['user_agent']!=MD5($_SERVER['REMOTE_ADDR']  
  15.       . $_SERVER['HTTP_USER_AGENT'])) {  
  16.            session_regenerate_id();  
  17.       }  
  18.    }  
  19.  
  20. /** 
  21.  
  22.    * 销毁 session  
  23.    * 三步完美实现,不可漏  
  24.    *  
  25.    */  
  26.    function sessionDestroy() {  
  27.        session_destroy();  
  28.        setcookie(session_name(),'',time()-3600);  
  29.        $_SESSION = array();  
  30.    }  
  31.    ?> 

注明:

session 出现头信息已经发出的原因与cookie 一样。

在php5 中,所有php session 的注册表配置选项都是编程时可配置的,一般情况下,我们是不用

修改其配置的。要了解php 的session 注册表配置选项,请参考手册的 Session 会话处理函数处。

 

 

责任编辑:chenqingxiang 来源: oschina
相关推荐

2019-05-15 15:10:12

Tomcat Session Cookie

2023-10-24 09:07:14

CookieSessionHTTP

2023-10-27 08:23:10

CookieWeb存储

2009-08-05 18:30:36

Session和CooASP.NET表单

2024-10-09 15:43:49

2023-10-04 00:05:00

SessionCookie

2020-11-05 09:26:55

Cookie和Sess

2023-12-04 10:36:46

SessionCookie

2020-02-27 15:12:29

cookiesession加密

2019-11-06 17:30:57

cookiesessionWeb

2011-06-15 15:16:54

Session

2019-06-11 14:45:25

2019-11-07 10:37:36

CookieSessionToken

2021-09-05 18:26:42

2018-06-26 10:52:45

2021-08-26 06:58:14

CookieSession应用

2023-12-11 11:29:35

2010-03-05 10:31:24

Ubuntu PHP

2020-09-01 07:35:45

SessionCookie网页

2021-08-09 08:53:30

HTTP状态化协议
点赞
收藏

51CTO技术栈公众号